- A+
提权管理方案背景:
如果一个公司有10余个运维或网络安全人员,同时管理服务器,切换到管理员用户时(su - root),必须要有root管理员密码,如果其中一人修改过root密码,其他用户则登录不了,那么要找回丢失的密码,要么就是系统重启,要么就是进入单用户模式进行重新配置密码,造成大量的数据无法访问,带来经济损失,为避免出现此种情况导致工作效率低下,我们允许有少量的非root用户依然有root用户的编辑及管理权限(某个用户在执行某个命令的时候,拥有root的最高权限),但用户还是非root用户本身,所以就有了提权(sudo)管理方案,具体实施部署如下:
配置方法:将普通用户权限提升为部分管理员权限
1.使用命令visudo 或 vim /etc/sudoers编辑文件,编辑的前提是,必须在root用户模式下
或者给普通用户一个可添加文件的权限
以上编辑是将非root用户的执行权限加到配置文件里面,非root用户在此配置文件未生效时,是无法在系统当中操作的:
配置文件生效时,我们再来/etc目录下创建并查看
2.将普通用户的组提权为%wheel组
我们在/etc目录下创建3.txt
普通用户切换root用户时,需要输入密码,这个时候我们不能暴力破解root密码,可以给普通用户提权,以输入密码
首先我们来添加一个用户为oldgirl,切换为oldgirl ,再切换root
当我们试图用sudo提权时,系统会给出警示信息
原因就是oldgirl用户不在sudoers配置文件中,我们在做此动作之前没有进行配置,所以系统会提示
现在我们依然采用前面配置文件的手法来进行文件配置,在这之前,我们的oldgirl账户必须有自己的密码
下图是我们将oldgirl在配置文件中提权
现在我们想从oldgirl用户切换为root用户只需输入oldgirl的密码即可
已经切换登录到root,如果我们没有在配置文件里将oldgirl用户提权,输入密码也会报错,不能切换的
下面再来说普通用户oldgirl怎么添加普通用户,默认情况下,任何没有经过提权的普通用户是不能进行添加用户的
提示权限不够,无法锁定/etc/passwd目标,我们在配置文件里将添加用户的全路径赋予给这个用户,
现在我们再进行用户的添加,就可以了
注意:我们的普通用户是经过提权后在系统中进行命令操作的所以在执行时必须带有提权标志sudo,否则无法进行命令操作。